一般來說,影響力最大的事物并不是最牛掰的事物——這件事可以反映到周末爆發(fā)的WannaCry勒索軟件身上。WannaCry可以說是史上影響、危害最大的勒索程序沒有之一了,它在爆發(fā)后的幾個小時內(nèi)攻擊99個國家近萬臺設備,在大量企業(yè)組織和個人間蔓延,從MalwareTech的數(shù)據(jù)來看,僅周五下午,WannaCry受害人就超過22.3萬;且在隨后出現(xiàn)變種。
對大眾媒體來說,宣導個勒索軟件概念就不是件容易的事情了。不過在這兩年的全球安全行業(yè)內(nèi),勒索軟件的發(fā)展已經(jīng)相當成熟,去年開始Ransome-as-a-Service在黑市就已經(jīng)很有市場。WannaCry就勒索軟件本身而言只能說是相當平凡的。
在這篇文章中,我們將總結(jié)包括微軟、思科、CNVD、CNNVD、360、安天、騰訊、安恒、瑞星、斗象科技、微步在線等安全企業(yè)和組織給出針對WannaCry的分析和處置方案。如果你正在擔憂WannaCry可能波及自己其所在企業(yè)組織,那么或許此文能夠給你一些方向。
WannaCry并沒有多么“sophisticated”!
國外安全公司經(jīng)常在分析、形容某個惡意程序的時候說它相當“sophisticated”,一般我們傾向于將之翻譯成復雜,不過它不光是表達復雜,還可以表達“精致”“老道”“水平高”。
FreeBuf先前分析過不少隱蔽技術極強的惡意程序,還有不少APT組織所用的exploit和工具都稱得上sophisticated。而在勒索軟件中可以稱得上sophisticated的,比如著名的Locky、Cerber等。
WannaCry本身無論如何都算不上sophisticated,無論是上周五就發(fā)布分析文章的思科Talos團隊,還是騰訊、安天的分析,這款惡意程序無非兩個組成部分:用于勒索(加密數(shù)據(jù)、解密數(shù)據(jù))的部分,以及針對Windows SMB漏洞的利用。后一部分是WannaCry的精髓,也是WannaCry之所以傳播能力如此之強的根源。
不過這部分實際上主要是對早前NSA泄露的ETERNALEBLUE(永恒之藍)exploit的改寫版本——Shadow Brokers在幾度出售方程式工具包失敗之后就主動將一堆0day放出了,其中就包括了這次用到的exploit(還有個DOUBLEPULSAR)。換句話說,WannaCry的震懾力主要是來自NSA方程式組織。
一般勒索程序的主流傳播手段是社工,無論是郵件釣魚還是惡意URL釣魚,這都需要用戶進行交互或下載payl
OAd。而WannaCrypt卻是借助Windows系統(tǒng)本身的漏洞,該漏洞將惡意構(gòu)建的包發(fā)往SMBv1服務器就能觸發(fā)。微軟在3月份的Patch Tuesday中已經(jīng)發(fā)布了MS17-010安全公告中修復了該問題,只不過大量企業(yè)組織不會實時打補丁,還有很多企業(yè)在用Windows XP這樣陳舊的系統(tǒng),自然受到了影響。
騰訊電腦管家實際上在分析中已經(jīng)寫得相當清楚:從木馬自身讀取MS17-010漏洞利用代碼,payload分成x86和x64兩個版本;創(chuàng)建兩個線程,分別掃描內(nèi)網(wǎng)和外網(wǎng)IP,開始蠕蟲傳播感染。
也就是說,企業(yè)內(nèi)部只要有一臺設備感染W(wǎng)annaCry,則整個內(nèi)網(wǎng)未采用最新系統(tǒng)的Windows設備都可能被很快感染——這是其傳播速度極快的一個原因。而且還不僅于此,整個過程,會對公網(wǎng)隨機IP地址445端口進行掃描,所以實際上是不僅限于局域網(wǎng)內(nèi)部的。瑞星的分析文章中也給出了隨機生成IP攻擊全球主機IP的截圖。
FreeBuf編輯部內(nèi)部在討論,WannaCry的最初感染到底是怎么做到的?有部分編輯(比如小編我)認為肯定是釣魚——這是惡意程序的常規(guī)手段,但Sphinx同學則堅持認為,既然都利用了漏洞,還要釣魚干嘛。這話也有道理。
思科Talos在自家的安全博客中說:“它并不只是簡單在內(nèi)部范圍進行掃描識別擴散對象,它也能針對暴露在互聯(lián)網(wǎng)上、存在漏洞的外部主機進行擴散。”不過微軟官方則認為其傳播的兩個主要途徑,既有社工郵件,也有通過其它感染設備利用SMB漏洞對其它可以通訊的設備(所謂的addressable)進行感染。
但“我們沒有證據(jù),明確該勒索程序最初是怎么感染的”,這是微軟的原話。無論如何,永恒之藍都是WannaCry的核心所在。至于其勒索組成部分,騰訊的分析比較詳細,也很好懂,感興趣的同學可以參見。
這里有個有趣的細節(jié)值得一提,勒索程序作者給出了繳納贖金的3個比特幣地址。Bleeping Computer在周五的文章中提到,這就讓事情變得比較麻煩,因為這樣一來WannaCry幕后真兇很難辨別究竟誰付過了贖金——畢竟受害人也是會騙人的。這表明“開發(fā)人員在這個領域的經(jīng)驗不夠”。而且至少到昨天為止,雖然這款勒索軟件影響力如此之廣,這三個比特幣錢包也只收到了17.309比特幣,也就是大約3.16萬美元,這收益和其影響力比起來,的確還算不上很理想。
避免感染,具體怎么做?
WannaCry出現(xiàn)之后,最為人津津樂道的地方在于它有個“Kill Switch”。安天針對WannaCry的運行流程圖中很明確(綠盟的分析也很清晰)地能夠看到Kill Switch所處的位置,即在mssecsvc.exe進程之后的“連接網(wǎng)址”,這個網(wǎng)址也就是這兩天相當火的:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
在連接該網(wǎng)址不成功以后才進行接下來的勒索和蠕蟲步驟,如果連接成功則會停止惡意行為。安全專家立刻注冊了這一域名(MalwareTech),所以WannaCry的擴散勢頭被臨時制止。微步在線為我們解釋了攻擊者這么做的原因。而且實際上,微步在線在周六的時候已經(jīng)發(fā)布文章,在安全建議中告訴企業(yè),如果發(fā)現(xiàn)設備感染,對于如何斷網(wǎng)的問題應該謹慎。
悲劇的是,很多企業(yè)的IT管理員并不了解其中原委,看到這么個URL,以為是惡意網(wǎng)址,就阻止了其訪問,反倒助長了勒索程序的擴散。這種事情都表征大量企業(yè)安全在執(zhí)行上的荒謬。
斗象科技旗下漏洞盒子今天也已經(jīng)發(fā)布了WannaCry蠕蟲勒索軟件處置手冊,我們綜合其它安全企業(yè)如360安全監(jiān)測與響應中心給出的建議做個簡單的總結(jié)。針對已經(jīng)感染W(wǎng)annaCry和未感染W(wǎng)annaCry的設備有兩套方案:
針對尚未感染或未知是否感染W(wǎng)annaCry的設備和企業(yè)網(wǎng)絡
1.Windows設備需要:
• Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016系統(tǒng)用戶請通過系統(tǒng)升級通道升級微軟發(fā)布的3月安全更新即可對其傳播過程免疫(其中MS17-010安全更新下載地址);
• 微軟相當罕見地針對已經(jīng)不受支持的Windows系統(tǒng)發(fā)布了安全更新,包括Windows XP、Windows 8、Windows Server 2003,這大概也能表現(xiàn)其嚴重性。點擊這里打補丁。
按照系統(tǒng)選擇下載:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
• Windows Defender最新版本(1.243.297.0)已經(jīng)能夠檢測Ramson:Win32/WannaCrypt;絕大部分主流反病毒軟件也都已經(jīng)支持WannaCry的檢測。
wannacry-ransomware-decrypt-unlock-files.png
• 微軟另外還建議用戶禁用SMBv1,畢竟這也是個相對較老的協(xié)議了,漏洞盒子的處置流程也提到了以這一點,具體的步驟點這里;
• 包括思科Talos在內(nèi)的絕大部分安全廠商都在防御建議中提到,面向互聯(lián)網(wǎng)(139與445端口)可公開訪問SMB的企業(yè)組織應阻止其入站流量:
• 思科特別建議企業(yè)組織禁止TOR節(jié)點連接以及TOR流量;
• 微步在線在給出的建議中提到:如果內(nèi)網(wǎng)機器沒有外網(wǎng)訪問權限,則建議客戶在內(nèi)網(wǎng)修改此開關域名(即上述Kill Switch)的內(nèi)網(wǎng)解析,并且將解析IP指向在線的內(nèi)部web服務器;如果內(nèi)網(wǎng)機器具有外網(wǎng)訪問權限,則無須采取額外措施;
• 部分針對WannaCry的免疫和檢測工具下載:
- 漏洞盒子的Wannacry蠕蟲勒索軟件處置流程及工具包(含離線補。篽ttps://pan.baidu.com/s/1o8ludfk(點擊這里按照步驟進行)
- 西班牙CERT最早給出臨時避免WannaCry感染的腳本:https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
- 瑞星“永恒之藍”免疫工具:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
- 360的NSA武器庫免疫工具:http://dl.360safe.com/nsa/nsatool.exe
- 多提一句:Windows Defender最新版也已經(jīng)支持檢測;
• 另外針對相對大型的企業(yè)組織,這些機構(gòu)需要設定有效的補丁管理,向端點和其它基建及時部署安全更新;
2.企業(yè)網(wǎng)絡需要:
360安全監(jiān)測與響應團隊給出了相對詳盡的方案。由于許多大型機構(gòu)設備眾多,所以可從網(wǎng)絡設備ACL策略配置著手,實現(xiàn)臨時封堵——即配置ACL規(guī)則從網(wǎng)絡層面阻斷TCP 445端口通訊。不過各類設備的配置方法有差異,可參見各安全設備提供商給出的方案。如思科針對自家防火墻產(chǎn)品所推的方案,可參見這里:
針對已經(jīng)感染W(wǎng)annaCry的設備和企業(yè)網(wǎng)絡
就此問題,漏洞盒子和CNNVD都給出了一些建議,內(nèi)容如下:
• 在企業(yè)組織內(nèi)部發(fā)現(xiàn)某臺設備已經(jīng)被WannaCry感染且數(shù)據(jù)加密的情況下,應當立即將這臺設備與網(wǎng)絡斷開;
• 查找內(nèi)部所有開放445 SMB服務端口的終端與服務器;
• 不要在已經(jīng)中毒的設備之上連接移動設備和驅(qū)動器;
• 文件數(shù)據(jù)遭遇加密后或可提供部分恢復的工具:
- 易我數(shù)據(jù)恢復:http://pc.qq.com/detail/7/detail_161187.html(使用教程點這里)
- 360“勒索蠕蟲病毒文件恢復工具”:https://dl.360safe.com/recovery/RansomRecovery.exe(使用教程點這里)
- 其它工具:
No More Ransom:https://www.nomoreransom.org/
antiBTCHack:https://github.com/QuantumLiu/antiBTCHack
• 或者還可以將加密數(shù)據(jù)轉(zhuǎn)移,等待安全廠商推專門的數(shù)據(jù)解密工具
更多建議
實際上從昨天開始,網(wǎng)上就在傳WannaCry 2.0,提到變種版本已經(jīng)去掉了Kill Switch,可進行更大規(guī)模的殺戮。不過卡巴斯基的Costin Raiu已經(jīng)在Twitter表示:是我不好,針對所有已知的Wannacry蠕蟲mods進行分析后,我們在其中都發(fā)現(xiàn)了Kill Switch,并無版本不包含Kill Switch。最先進行2.0報道的MOTHERBOARD也已經(jīng)就此錯誤進行了道歉。
不過Matt Suiche在昨天的博客文章中談到的確有了新的“no kill switch”的變種,但其危害相對有限無法達到WannaCry的高度。
最后值得一提的是,微軟在安全公告中提到并不清楚WannaCry最初是如何感染的,所以不排除釣魚郵件和鏈接的可能性。所以除了平常需要科學的系統(tǒng)更新部署方式,不要點擊不受信任的鏈接或打開不受信任的郵件附件也是相當初級和有效的建議了。
針對勒索軟件本性,CNNVD的處置建議最后一條提到:在日常計算機使用過程中,對重要信息數(shù)據(jù)定期及時進行備份,這本身也是杜絕勒索軟件成功勒索的最重要步驟。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:全球安全廠商針對“Wannacry勒索蠕蟲”響應與處置方案匯總
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839520659.html